国外著名网盘MEGA Chrome浏览器扩展程序遭黑客窃取登陆凭据和加密货币

xiannv  2270天前

您是否正在使用MEGA Chrome浏览器扩展程序?立即卸载它,因为MEGA文件存储服务的Chrome扩展程序已被黑客入侵,并被替换为一个窃取用户主流网络服务(即亚马逊,微软,Github和谷歌)凭据以及加密货币钱包私钥(即MyEtherWallet,MyMonero和Idex.market加密货币交易平台)的程序。

MEGA是一种安全的云存储服务,具有50 GB的可用存储空间。这项服务是在MegaUpload关闭后由Kim Dotcom于2013年推出的,目前Chrome扩展已经从Chrome网络商店中移除。

“在2018年9月4日格林威治标准时间14点30分,一名身份不明的攻击者向谷歌Chrome网上商店上传了一个MEGA Chrome扩展程序的恶意版本3.39.4 。”Mega发布安全公告说。

这个黑客攻击最初是由意大利安全研究员、Monero项目参与者SerHack发现的,他立即在Twitter上发布了警告,称3.39.4版本的MEGA Chrome扩展程序遭到黑客攻击。其他安全研究人员也迅速跟进分析这一扩展程序,并报告了他们的发现。

图片.png

“在安装或自动更新时,它会要求提升MEGA真实扩展所不需要的权限(读取并更改您访问的网站上的所有数据),并且(如果授予权限)将包括amazon.com,live.com,github.com,google.com(用于 webstore 登录),myetherwallet.com,mymonero.com,idex.market等网站的exfiltrate凭据和发送HTTP POST请求到一个位于乌克兰的服务器的其他站点。请注意,mega.nz 凭证没有被泄露。“

扩展程序一经安装后,将监控向Amazon,Microsoft,Github和Google提交的特定登录表单。

它还会对提交的任何表单进行监控,这些表单包括了含有字符串寄存器、登陆信息或名为“用户名”、“电子邮件”、“用户”、“登陆”、“通行证”或“密码”等变量信息。

图片.png

扩展程序检测到任何这些表单提交或数据变量信息,都会将凭据和变量值发送到位于乌克兰的主页https://www.megaopac.host/

更糟糕的是,此扩展程序还将监控格式为“https://www.myetherwallet.com/*”,“https://mymonero.com/*”,“https://idex.market/*” 的网址。一旦检测到,它将执行ja vasc ript,试图从这些站点窃取登录用户的加密货币密钥。


Mega强调,谷歌禁止发布商签署他们的Chrome扩展程序,并选择仅在上传扩展程序后自动签名,这实际上为外部攻击清除了障碍。

在安全漏洞发生四小时后,Mega在商店更新了一个干净版本(3.39.5),受影响的安装已自动更新。谷歌在被黑后五小时从Chrome网上商店删除了恶意扩展程序。

“只有在事件发生时安装了MEGA Chrome扩展程序,启用了自动更新,并且您接受了其他权限,或者如果您刚刚安装了3.39.4版本,您才会受到影响。”

Firefox版本的MEGA尚未受到损害,用户在没有Chrome扩展程序的情况下访问https://mega.nz并未受到影响。

当前尚不清楚有多少用户安装了恶意MEGA Chrome浏览器扩展程序,专家推测数以百万计的用户可能已经受到影响。

“请注意,如果您访问过任何网站或使用另一个通过POST请求发送纯文本凭据,可以通过直接表单提交或通过后台xm lHttpRequest进程(MEGA不是其中之一)的扩展程序,而且恶意扩展程序处于活动状态,请考虑您在这些网站和/或应用程序上的凭据遭到窃取。“

白帽汇安全研究院提醒广大用户,安装了恶意MEGA Chrome浏览器扩展程序的用户必须卸载版本3.39.4并更改其所有帐户的密码。

原文链接:https://securityaffairs.co/wordpress/75934/hacking/mega-chrome-browser-extension-hacked.html

最新评论

昵称
邮箱
提交评论